operační systém From Wikipedia, the free encyclopedia
MINIX 3 je projekt s cílem vytvořit malý, vysoce spolehlivý a funkční Unix-like operační systém. Je zveřejněn pod licencí BSD a je nástupcem dřívějších operačních systémů MINIX 1 a 2.
Systém MINIX 3 se správcem oken TWM | |
Vyvíjí | Andrew S. Tanenbaum |
---|---|
Rodina OS | Unix-like |
Druh | Open source |
Aktuální verze | 3.3.0 / 16. září 2014[1] |
Podporované platformy | 32bitové verze: IA-32, ARM 64bitové verze ve vývoji: ARMv8 (prioritně), x86-64[2] |
Typ jádra | Mikrojádro |
Programovací jazyk | C, Assembler |
Výchozí uživatelské rozhraní | Příkazový řádek (ash) |
Licence | BSD licence |
Stav | Aktivní |
Oficiální web | minix3.org |
Hlavním cílem tohoto systému je, aby byl odolný proti chybám, za pomoci detekce a oprav sama sebe, za běhu, bez nutnosti zásahu uživatele. Jako hlavní použití tohoto operačního systému se očekávají vestavěné systémy a vzdělávání.[3]
MINIX 3 v současné době podporuje IA-32 a ARM architektury systémů. Je také možné spustit MINIX pod emulátory nebo virtuálními stroji, jako jsou Bochs[4][5], VMware Workstation[6], Microsoft Virtual PC[7], Oracle VirtualBox[8] a QEMU. Porty na architektury ARM[9] a PowerPC[10] jsou ve vývoji.
Distribuci je možné získat na live CD a také ji lze stáhnout ve formátu vhodném pro USB flash disk.[11] Nejnovější verze je 3.4.0rc6 z 9. května 2017.[12]
V kontrastu k systémům založeným na monolitickém jádře, kde ovladače (které mají podle tvůrce MINIXu Tanenbauma, přibližně 3–7krát více chyb než obvyklý program)[13] mohou vyřadit z provozu celý systém[14], MINIX 3 si klade za cíl vytvořit operační systém, který je "spolehlivý, samoopravný, multiserverový klon UNIXu".[15]
V zájmu dosažení minimalizace kódu běžícího v jádře systému, byl realizován s file serverem, proces serverem a všemi ovladači zařízení běžícími jako samostatné procesy v uživatelském režimu. Každý ovladač je bedlivě sledován součástí systému známou jako reinkarnační server. Pokud ovladač nereaguje na ping od reinkarnačního serveru, je vypnut a nahrazen novou kopií ovladače.
V monolitickém systému může chyba v ovladači snadno shodit celé jádro, což je v MINIXu 3 mnohem méně pravděpodobné.[16]
Verze | Datum vydání | Popis |
---|---|---|
3.1.0 | 2005-10-24 |
|
3.1.2a | 2006-05-29 |
|
3.1.3 | 2007-04-13 |
|
3.1.3a | 2007-06-08 |
|
3.1.4 | 2009-06-09 |
|
3.1.5 | 2009-11-05 |
|
3.1.6 | 2010-02-08 |
|
3.1.7 | 2010-06-16 | |
3.1.8 | 2010-10-04 |
|
3.2.0 | 2012-02-29 |
|
3.2.1 | 2013-02-21 |
|
3.3.0 | 2014-09-16 |
|
3.4.0 rc6 | 2017-05-09 | |
|
MINIX 3 byl veřejně uveden dne 24. října 2005 Andrewem Tanenbaumem, během jeho projevu konference ACM Symposium Operating Systems Principles. I když MINIX 3 stále slouží jako příklad pro nové vydání učebnice Tanenbauma a Woodhulla, je komplexně přepracován, aby byl "použitelný jako seriózní systém pro počítače s omezenými zdroji, vestavěné systémy a pro aplikace vyžadující vysokou spolehlivost."
O MINIX 3 se zajímal Intel prostřednictvím svého týmu inženýrů, který Tanenbauma kontaktoval.[18] Kromě technických dotazů se inženýři Intelu dotazovali i na množství úprav MINIXu, např. na snížení paměťové náročnosti, přidání #ifdefs do částí kódu, aby byly označitelné v konfiguračních souborech.[18] Díky těmto úpravám se stal MINIX 3 ještě více modulárnějším, než byl do té doby.[18] Po té Tanenbaumova spolupráce s Intelem na několik let ustala.[18] Později se ukázalo, že MINIX 3 byl využit jako operační systém v rámci Intel Management Engine 11, což z MINIXu učinilo patrně nejpoužívanější operační systém na světě.[18]
Jedním z hlavních cílů MINIXu 3 je spolehlivost. Níže jsou rozebírány některé z důležitých zásad, které ji u MINIXu 3 zvyšují.
Monolitické operační systémy, jako jsou Linux a FreeBSD, a hybridy, jako jsou Windows mají miliony řádků jádra kódu. V kontrastu s tím má MINIX 3 přibližně 6000 řádků spustitelného kódu jádra[19], což může pomoci při hledání chyby v kódu.
V monolitických jádrech jsou ovladače zařízení umístěny v samotném jádře. To znamená, že když je nová periferie nainstalována, je neznámý, neověřený kód vložen do jádra. Jeden chybný řádek kódu v ovladači může způsobit pád systému.
V MINIXu 3 je každý ovladač zařízení samostatným procesem, běžícím v uživatelském režimu. Ovladače nemohou vykonávat privilegované instrukce, měnit tabulky stránek, provádět libovolné vstupy/výstupy (I/O) a zapisovat do nestránkované paměti. Služby musí žádat jádro o povolení.
V monolitických jádrech může ovladač napsat jakékoliv slovo do paměti a omylem tak poškodit uživatelské programy.
V MINIXu 3, když například uživatel očekává data od souborového systému, vytváří popisovač (deskriptor) určující, kdo má přístup a na jaké adresy. Ten pak poskytne index pro tento popisovač souborového systému, který mohou předat ovladači. Tento souborový systém nebo ovladač se pak ptá jádra, zda může zapsat prostřednictvím popisovače, takže je pro něj nemožné zapsat na adresy mimo vyrovnávací paměť (buffer).
Dereferencing neplatného ukazatele během práce ovladače nabourá ovladač procesu, ale nebude mít žádný vliv na systém jako celek. Reinkarnační server bude havarovaný ovladač automaticky restartovat. Pro některé ovladače (např., disku a sítě) je oživení pro uživatelské procesy transparentní. Pro ostatní (např. audio a tiskárny), si jich uživatel může všimnout. V monolitických jádrech dereferencing neplatného ukazatele v ovladači vede obvykle k havárii systému.
Pokud se ovladač dostane do nekonečné smyčky, bude plánovač postupně snižovat jeho prioritu, až se stane nečinným. Nakonec reinkarnační server bude vidět, že ovladač nereaguje na stav žádosti, tedy ho odstraní a restartuje. V monolitickém jádru zacyklený ovladač může zastavit systém.
MINIX 3 využívá pro interní komunikaci pevné délky zpráv, která eliminuje některá přetečení vyrovnávací paměti (bufferu) a problémů s jejím řízením. Také mnohé exploity využívají princip přetečení vyrovnávací paměti, aby trikem podvrhly programu pro návrat z volání funkce pomocí přepsání zásobníku návratovou adresu ukazující do útočníkem ovládané paměti, obvykle přetečení vyrovnávací paměti sám způsobí. V MINIXu 3 je riziko tohoto útoku zmírněno, protože instrukce a data jsou rozdělena a pouze kód (který je pouze pro čtení) může být proveden. Toto je běžně známé jako Data Execution Prevention.
Ovladače zařízení získávají služby kernelu (např. kopírování dat do uživatelského adresního prostoru), a to pomocí volání jádra. Jádro MINIXu 3 má bitovou mapu pro každý ovladač, který upřesňuje, které volání je oprávněn dělat. V monolitických jádrech může každý ovladač volat každou funkci jádra, oprávněnou či nikoliv.
Jádro také udržuje tabulku popisující, které I/O porty může jednotlivý ovladač použít. Výsledkem je, že ovladač může přistupovat jen ke svým vlastním I/O portům. V monolitických jádrech může mít chybný ovladač přístup k I/O portům, které přísluší jinému zařízení.
Ne každý ovladač a server musí komunikovat s každými ostatními ovladači a servery. Proto má každý proces bitovou mapu, která určuje, které destinaci může jednotlivý proces poslat.
Speciální proces, nazvaný reinkarnační server, pravidelně dotazuje (ping) každý ovladač zařízení. Pokud ovladač havaruje, nebo nedokáže správně reagovat na dotaz, reinkarnační server jej automaticky nahradí novou kopii. Detekce a výměna nefunkčního ovladače je automatická, bez potřeby zásahu uživatele. Tato funkce v současné době nefunguje pro ovladače disků, ale v příští verzi bude systém schopen obnovit i ovladače disku, který bude ve stínu v random-access memory (RAM). Obnova ovladačů nemá vliv na běžící procesy.
Když nastane přerušení, je na nízké úrovni převedeno na zprávu zaslanou příslušnému ovladači. Pokud ovladač čeká na zprávu, dostane přerušení okamžitě, jinak dostane upozornění, že příště OBDRŽÍ zprávu. Toto schéma eliminuje vnořená přerušení a dělá programování ovladače jednodušší.
Jak lze vidět, na spodní úrovni je mikrokernel, což je asi 4000 řádků kódu (většinou v programovacím jazyce C, plus malé množství Assembleru). Zpracovává přerušení, plánování a předávání zpráv. Jeho API také podporuje asi 30 jaderných volání, které mohou autorizované servery a ovladače realizovat. Uživatelské programy nemohou tato volání použít. Místo toho mohou používat POSIXová systémová volání, která mohou odeslat zprávy na servery. Jaderná volání provádějí funkce jako je nastavení přerušení a kopírování dat mezi adresními prostory.
Na další úrovni, jsou tu ovladače zařízení, každé z nich běží jako samostatný uživatelský proces. Každý z nich ovládá některé I/O zařízení, jako je například disk nebo tiskárna. Ovladače nemají přístup k I/O prostoru a nemohou provádět I/O instrukce přímo. Místo toho musí ovladače provést volání jádra se seznamem I/O portů hodnot určených pro zapsání. Zatímco tam je malé množství režie (typicky 500 ns), tento systém umožňuje, aby jádro zkontrolovalo, zda má ovladač povolení. Aby například audio ovladač nemohl zapisovat na disk.
Na další úrovni existují servery (služby, démoni). To je místo, kde se nachází téměř všechny funkčnosti operačního systému. Uživatelské procesy získávají souborové služby, jako například odesílání zpráv na souborový server, jako otevřít, zavřít, číst a zapisovat soubory. Na druhé straně, souborový server dostane diskový I/O zasláním zprávy na ovladač disku, který v současnosti řídí disk.
Jedním z klíčových serverů je reinkarnační server (viz též watchdog timer). Jeho úkolem je průzkum všech ostatních serverů a ovladače pro kontrolu na své zdraví pravidelně. Pokud se součásti nezdaří reagovat správně, nebo se ukončí nebo dostane do nekonečné smyčky, reinkarnační server (který je nadřazený proces ovladače a servery) odstraní vadné součásti a nahradí je novou kopií. Tímto způsobem je systém automaticky samoopraven, aniž by bylo zasahováno do spuštěných programů.
V současné době reinkarnační server, proces server a mikrokernel jsou součástí "trusted computing base". Pokud některý z nich selže, systém se zhroutí. Nicméně, snížení trusted computing base (jádra systému) od 3-5 milionů řádků kódu nacházejících se v systémech Linux a Windows, na asi 20 000 řádek, výrazně zvyšuje spolehlivost systému.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.